Selon une analyse post-mortem fournie par CertiK de l’exploit Lodestar Finance de 5,8 millions de dollars qui s’est produit le 10 décembre,
5. Le pirate a brûlé un peu plus de 3 millions en GLP, leur profit sur cet exploit était les fonds volés sur Lodestar – moins le GLP qu’ils ont brûlé.
6. 2,8 millions du GLP sont récupérables, ce qui représente environ 2,4 millions de dollars. Nous allons contacter le hacker et…
— Lodestar Finance (,) (@LodestarFinance) 10 décembre 2022
Dans un cas similaire, CertiK a déclaré que les pirates de Lodestar Finance « ont artificiellement gonflé le prix d’un actif collatéral illiquide contre lequel ils ont ensuite emprunté, laissant le protocole avec une dette irrécupérable ».
« Bien que certaines des pertes soient potentiellement récupérables, le protocole est actuellement fonctionnellement insolvable, et les utilisateurs sont instamment priés de ne pas rembourser les emprunts qu’ils ont contractés. »
L’attaque s’est produite via une vulnérabilité dans le jeton plvGLP de PlutusDAO sur Lodestar. Selon sa documentation, Lodestar « utilise des flux de prix Chainlink vérifiés et sécurisés pour chaque actif qu’il propose à l’exception de plvGLP ». Au lieu de cela, le taux de change de plvGLP à GLP reposait sur le total des actifs divisé par l’offre totale sur Lodestar.
Comme l’explique CertiK, l’exploiteur a d’abord financé son portefeuille avec 1 500 Ether (ETH) le 8 décembre, qui a ensuite souscrit huit prêts flash pour un total d’environ 70 millions de dollars en USD Coin (USDC), enveloppé Ether (wETH) et DAI (DAI) deux jours plus tard. Cela a conduit le taux de change de plvGLP à GLP à 1,00: 1,83, ce qui signifie que l’exploiteur a pu emprunter encore plus d’actifs au protocole.
Les emprunts ont rapidement consommé toutes les liquidités de la plate-forme, ce qui a conduit le pirate à transférer les fonds hors de Lodestar et à laisser les utilisateurs avec des créances irrécouvrables. On estime que l’exploiteur a réalisé un total de 6,9 millions de dollars de bénéfices grâce au vecteur d’attaque.
« Alors que Lodestar tend la main à l’exploiteur pour tenter de négocier une prime de bogue ex post facto, les fonds sont susceptibles d’être pour la plupart irrécupérables. En l’absence d’un fonds d’assurance pouvant couvrir les pertes, les utilisateurs de la plate-forme en supportent le coût de l’exploit. »
CertiK a averti que l’attaque « est le résultat de failles dans la conception du protocole plutôt que d’un bogue dans son code de contrat intelligent ». La société de sécurité blockchain a en outre souligné que Lodestar avait été lancé sans audit et, par conséquent, sans examen par un tiers de la conception de son protocole.